Příspěvky

166

Server / Re:Port forward na Wireguard klienta

« kdy: 14. 09. 2022, 13:08:56 »

UPDATE, koukám, že krok 3 jsi zkoušel, ale mazat už to nebudu. Taky zálečí, odkud to zkoušíš, logicky připojit se na 10.3.2.1, půjde z vps, pokud na 144.xxx, tak to pujde odkudkoli (z VPS je to diskutabilní, když má ten WTF NAT)

Opravdu bych koukl na nutnost keepalive a na allowed-ips, a jaké adresy ti chodí.

Z pohledu Wireguarda žádné rozlišování server/klient není. Jen na to upozorňuji, samozřejmě, sématnicky  to je lepší pro orientaci.

Mohou tu být problémy:
1.  připojení na internet windows počítače nemá asi veřejnou IP. Kdyby mělo, tak nepotřebuješ žádný VPS. Proto v konfiguraci klienta(WIN) je potřeba u peera VPS zadat wg set persistent-keepalive (v příkazu wg)( PersistentKeepalive = N v wg.conf) N ( obvykle o fous méně než 120), protože obvykle se udp spojení po cestě rozpadne do 2 minut.
Jak se to pozná:  z klienta se na VPS připojíš, ale z VPS na klienta ne, nebo jen do dvou minut, co naposled klient komunikoval a to ty potřebuješ, protože vps bude vytáčet klienta

Další věc, kromě generického sysctl ip forward 1 taky je potřeba(na tom serveru se podívat na iptables -L FORWARD jestli povolen FORWARD mezi   eth0 a wg0  a FORWARD mezi wg0 a eth 0 (liší se to prohozením -i a -o  nebo  záleží jestli to třeba řešíš pomocí IP adres)
 Nebo můžeš dát rovnou iptables -P FORWARD ACCEPT (což je takový vtípek bezpečnostní), ale pro zkoušku můžeš, jinak není moudrý si na serveru takhle FORWARD otevřít bez omezeníJestli se pletu, opravte mě, stejně i best practice, jestli pro forwarding uvádět radši -i/-o nebo -dst/-src/obojí


3.věc ve wireguarduale přečti si to celé ! tohle  taky nejde udělat jen tak bez dalších navazujíchích kroků z hlediska bezpečnosti na klientovi je třeba povolit allowed-ips (u peera) 0.0.0.0, protože se k ti na ten port bude připojovat kdokoli, má li jít o veřejnou službu. COž s sebou nese 2 problémy - wireguard to vyhodnotí jako výchozí bránu (při wg-quick tuším, při ručním vytvoření wg0 přes ip, konfiguraci wg set a ip rooute add ne)  a taky by bylo  dobro záhodno  následně si ve firewallu (FORWARD)  omezit, co se bude forwardovat, (všiml sis že tohle můžeš nastavit na serveru i na klientu, kde to má asi lepší smysl? když to nastavíš na klientovi, tak ti do to dunelu budou proudit i data, která bys zařízl rovnou na serveru)
--- ALTERNATIVA- udělat na serveru NAT . Pak ti budou ale chodit všechny requesty z jedné IP.
Uvedu příklad, je trochu jiný( port 8080 směruje na 443)

Kód: [Vybrat]

iptables -I POSTROUTING  -t na
t  -p tcp --dport 443 -o wgT -d 192.168.1.KOMP -j SNAT --to
 10.9.0.X                 
iptables -I PREROUTING  -t nat  -p tcp
--dport 8080 -j DNAT --to 192.168.1.KOMP:443

Návod není uplně šitý na míru, jelikož to používám trochu jinak (wireguard klient není přímo koncový PC, ale router, takže tam jsou ještě nějaký čachry )

Klidně mi rozmluvte co se vám nezdá, navrhněte lepší řešení .

167

Sítě / Re:Zkušenosti s Tlapnet

« kdy: 14. 09. 2022, 12:35:02 »

Nemám, ale zdá se mi jejich marketing zvláštní. Chlubí se (lákají na) rychlost 1Gbps, v oblastech, kde to zjevně není pravda.

Ano, router z podstaty má 2 IP adresy, protože spojuje 2 sítě přinejmenším (obvykle LAN je vnitřní a WAN vnější) A ta vnější IP adresa nutně nemusí být veřejná ani "veřejná". 

(V obou směrech, ale obykle přecijenom když na vnějším rozhraní máš privátní  adresu, tak je téměř záruka , že veřejnou IP adresu mít nebudeš. I když technicky by to šlo přes NAT, ale pak je otázka proč by to provider dělal, když může tu skutečnou adresu rovnou ti  tlačit )
Naopak ,když máš veřejnou adresu na vnějším rozhraní, to neznamená téměř nic a je ve hvězdách, jestli más "veřejnou".

168

Vývoj / Přesměrování favicon.ico na titulní stranu

« kdy: 13. 09. 2022, 10:56:39 »

Používá se v programování html stránek technika, že dotaz "/favicon.ico" je přesměrovaný (301) na "/"?

169

Odkladiště / Tlačítko play na YouTube přehraje jen tři snímky

« kdy: 13. 09. 2022, 10:38:28 »

Nevíte, co zase soudruzi vylepšili na webové stránce youtube.com? Otevřu si video, a je pauznuté (někdy až  po první půlsekundě). Tlačítko play přehraje asi 2 až 4 snímky a tak 50ms hudby.
Když držím klávesu"K", tak to stroboskopicky hraje

Při návštěve varianty youtube.com/embed/... nebo m.youtube.com (user agent mobilní) to jde OK.

Nepomůže změna user agent na FF, Chrome ani výběr kvality nebo playback rate, všechny videa to dělaj. Neomůže ani <video>$0.play()
browser Chromium 100

PS: První načtení je světlý okamžik to se přehraje dokonce celá jedna sekunda videa.

170

Hardware / Inkrementace SMART po restartu / 30 Unload za den

« kdy: 05. 09. 2022, 19:39:39 »

Mám 3 dotazy  k nonstop-běžícím diskům v NAS(nejsou to SMRtě). Sledované hodnoty SMART jsou:
193. load cycle count
4: Start Stop count
12: Power cycle count
192: Retract count

Mimochodem pořadí je seřazené tak, že hodnoty jsou od nejvyšších po nejnižších a jeslti tomu dobře rozumím, tak podle významu hodnoty by to i tak logicky mělo odpovídat )- zjednodušeně retract= nouzové vypnutí  nemůže překročit start+stop a power cycle;V rámci power cycle může být víc start-stop v případě uspávání ploten ; a load+unload se může u notebookových křápů dít každých 10 sec.

1. dotaz je jednoduchý, mám se vůbec zatěžovat zvyšováním hodnoty 193 (load cycle count)  o asi 30 denně a to ještě jen u jednoho disku?? což je 9999 ročně asi

2. Je pro disk dobré, aby třeba aspon párkrát za den udělal load cycle , tedy naopak není žádoucí, když celou dobu jsou hlavičky "loaded" ?

3. Je nějaké vysvětlení, že jednomu disku se po normálním (soft) restartu tyhle čtyři hodnoty vůbec nezvyšují a druhému ano (o jedničku každá plus ta Loaded ještě průběžně z bodu 1). (Při tvrdém vypnutí i tomu prvnímu)  První disk je "systémový" (byl na něm jako na prvním vytvořen prvý oddíl) a taky na něm (všechna) data, a přistupuje se k nim. Na druhém jsou zálohy, které se jednou za čas (třeba za týden) vyrobí tedy k disku není důvod aby se přistupovalo. Je to třeba tak jednoduché, že prostě je tam defaultní timeout parkování hlaviček 15-60 minut?


(Mám nastaveno nevypínat disky nikdy)  Hodnotu hdparm -M/-B jde jen zapisovat a ne číst. Jde o 2 jiné disky od stejného výrobce (o jednu generaci novější, ten inkrementující  LoadCycle i po restart je ten starší, bez aktivních dat s těmi snapshoty dat)


4. Je vhodná dlouhodobá (trvalá) teplota 45°C.  (44 až 46 oscilace)?

171

Sítě / Vyřeší routování na hotspotu androidu změna kernel/user-wireguardu

« kdy: 03. 09. 2022, 18:41:53 »

Má domněnka je, že pakety do rozhraní wireguardu v telefonu ani nepřitečou
Koukám, že se nikdo neosmělil. Má poznámka Nezkoušel jsem volbu userpsace režim oproti kernelspace backend v nastavení appky možná má určitou váhu.
 Jelikož wireguard pak:

• skutečně se v androidu jeví jako VPN
• rozhraní má ale jiné jméno (kernel: přímo název položky názvu rozhraní v appce ; userpace: tun0
• sakra, vím že to byly 3 body, ale nevzpomenu si.

Jen bohužel, na nefunkčnost to nemá vliv. To jsem psal dřív (že to posílá traffic na LTE rohraní) teď už není pravda: (wlan1):192.168.123.44 → 10.0.2.naproti
(rmnetdata):100.119.123.456 → 10.0.2.naproti ,  nevím proč přesně , patrně tou změnou KERNEL → USER.)
Další poznámka:  Nyní. telefon na zpátky wifi klientům posílá ICMP  NETWORK unreachable.  Tato změna  (ICMP nebo misrouting))je způsobená Volbou ALLOW CLIENTS USE VPN,  kterou jsem zminoval

(užiteční: su; tcpdump -nti any "port 80 || icmp  || udp")


Proč to nejde, když se to jeví růžově (routa 10.0.2.0/24 je v ip route)?

172

Hardware / Re:Domácí NAS

« kdy: 02. 09. 2022, 14:57:09 »

Dost jsem o tom přemýšlel a mám zkušenosti s oběma a každé má něco pro a proti. (srovnám NAS a rpi+USB-SATA resp  rpi +  sdílená složka na sd kartě )

taky je dobré vědět jako chceš redudanci, počet disků (nyní a výhledově).

Na hotovém boxu se mi líbí case, jeden konektor, žádné externí boxy a převodníky.
Nedá se říct, že QNAP a Synology by byly bezchybné, neběží tam plný linux, v rozhraní jsou chyby, občas se podivně polozaseknou. Když zjistíš, že u nějaké feaury bys potřeboval něco trošku jinak(přestože jde třeba o jednoduchý požadavek jako oddělit logicky funkce na 2 porty) ale s velkým bezpečnostní dopadem,  těžko to uděláš a když ano třeba zjistíš že při restartu se to vrátilo do původního stavu
K zvážení jsou cloudovací služby jako dyndns, reverzní tunel pro chudáky s NATem, vzdálené připojení. I jako hrozba, potenciální problém. Zvaž izolovat od internetu (a nebo přepojit na VPN nebo forwardovat jen něco)

Dokážu si rpi(nebo custom board) zmanagovat, že mi tam poběží vše a podle svých představ. Nedokážu si představit, že by tohle ne-ajťák si doma zbastlil. Přečít vergilia si může i skladník...

Taky mě štve, že NAS si musí disk inicializovat podle svého formátu, zřejmě bude fungovat přehození v rámci značky, ale jsou situace, kdy normáními nástroji (třeba po vyhoření desky) nejsi schopen přimountovat jednotku (konkrétně LVM dynamické alokované svazky , u běžného oddílu není problém) kvůli tomu "modifikovanému" linuxu(resp drivery LVM)  kvůli extra funkcncím těmi výrobci

173

Sítě / Android hotspot: provoz odchází na data místo do WireGuardu

« kdy: 02. 09. 2022, 13:32:38 »

Mám problém s "prostřelením" trafficu  zařízení připojených na Hotspot android telefonu, jehož spojení do internetuju jsou klasicky data LTE. Chci komunikovat do sítě 10.0.2.0/24 (rozsah adres wg interface) a 192.168.6.0/24 (propojená síť na třetím peerovi). Přímo z telefonu samotného mi vše funguje OK (to znamená že se v pořádku dostanu na  interní rozsah tunelu 10.0.2.x ale i na .192.168.6.x na naroutové síti na třetím peeru za 2 naty po schodech nahoru a třetí zatáčka vlevo)

Telefon má jedno wg rozhraní s jedním peerem (veřejná IP). Tento PC má 2 peery (zmíněný telefon a klienta právě pro připojení té naroutované sítě. Pro jednoduchost lze uvažovat, jako kdyby naroutovaná sít 192.168.6.0 byla na tom veřejném PC. Z toho důvodu, že na zadaný stroj totiž žádný paket nedorazí  (traffic původem z hotspot klienta ne, ale z samotného smartphonu ano )- viz dole

Zjištění: na veřejný PC nedorazí žádný traffic (na any rozhraní) pokud si chci z zařízení na hotpotu připojit na 192.168.6.x i 10.0.2.x

Na smartphonu je hotspot řešen s geniální fíčurkou že síť hotspotuje je 192.168.RANDOM.0/24 a je natován samozřejmě (projistotu z 192.168.RANDOM.random  ).
Z telefonu naopak odchází pakety z CGNAT adresy 100.x.x.x na 192.168 nebo 10.0. z rozhraní rmnet_dataX (ihned potom, co je přijat paket z wlan0 z 192.168.164.123 )
To je podle mě klíčový problém , tipl bych špatné pořadí pravidel pro wg a pro hotspot / PREROUTING a POSTROUTING. Zkoušel  jsem samozřejmě volbu Allow hotspot clients to use VPN On/off. a taky různé pořadí zapnutí wg a hotspotu
 
Jistě, ať má zařízení na hotspotu jakoukoli ip, a ť mu ji přiděluje dhcp an tom androidu, ale ať mi to funguje (současně ale se to musí nějak natovat, abych na protější peerovi nemusel laborovat s allowed-ips)

Chci to vyřešit nějak seamless, abych při každém zapnutí nemusel hledat , které číslo z 192.168.(2-254).0 je rozsah sítě  nebo si vzpomínat že mám přidávat další iptables pravidlo. Telefon má LineageOS < Android 11. Jak to řešit pokud možno elegantně? 

 !!! Dle mě jde nějakou ch

Další pozorování: tento wireguard program dle mého zjištění v telefonu není považován z VPN jako takovou.
Nezkoušel jsem Options Disable kernel module backend.

Mám oficiální com..wireguard.android nástroj
 Konfig je:
Interface: Adresa 10.0.2.10/24
Peer: Allowed 10.0.2.0/24,192,168.6/24, endpoint : blažek.com:99999 


ip r hlásí
(default routa na androidech jaksi schází ve výpisu)
10.0.2.0/24 dev wg-phone src ... _.2.10
100.116.123.40/30 dev rmnetdata src ... _.123.42
192.168.69.0/24 dev wlan1 src ... _.69.234

root mám (jinak bych asi těžko spustil sudo -c  tcpdump ) . Ještě jednou, spojení do světa je přes LTE(100.x.x.x) a k wifině nejsem připojen (pro jistotu to zmiňuji), hotspot jen je zapnutý .  A připojení z samotného telefonu funguje bezvadně

174

Vývoj / Re:Trendy v PHP

« kdy: 30. 08. 2022, 09:20:14 »

čím víc deklarativního kódu tím lépe

Svatá pravda.

imperaticní programování ftw

Žádné programování, jen psaní konfigurace a deklarace  ( alá docker-compose.yml atd)! A ještě sloučení konfiguráků různých projektů jednoho autora do jednoho co vládne všem.
ideálně narvat veškerou konfiguraci světa do jednoho souboru world.conf, kde bude vše cose týče It

175

Vývoj / Re:Do jakého projektu se pustit?

« kdy: 30. 08. 2022, 09:14:17 »

Sice už je to zabrané, ale třeba takové boxy na výdej zásilek byla díra na trhu.

176

Vývoj / HTTP Content-Length :přibližná velikost

« kdy: 30. 08. 2022, 09:12:43 »

Existuje hlavička podobná (nebo upravující význam-) Content-Length, že velikost je pouze přibližná? Např při stahování dynamicky generovaného souboru(archivu) u kterého se očekává velikost 5124MB ± 3MB. Aby se vědělo, že to se vychází z  5124,ale dopředu se neví velikost hlavičky a metadat, což budou nějaké drobné.

177

Sítě / Wireguard android, verze 13, eBPF, kompatibilní

« kdy: 28. 08. 2022, 07:58:53 »

Můj com.wireguard.android zase neumí přiřadit víc IP adres k wg interface, ip addr mi hlásí jen tu posledí z vyplněného pole Addresses:<10.0.1.0/24,...,...,tato>

A do toho  jsem zaregistroval vypuštění Lineageos verze 19, android 13(asi), changelog číslo 26: https://lineageos.org/Changelog-26/
tam čtu něco že to má nový network engine .Mám se bát , že síťové utility nebudou fungovat( třeba i tcp dump z root sh) nebo právě wireguard to rozhodí nebo oblíbený DNS filtr který funguje přes root a nějak přepisuje porty 5300 a 53 přes DNAT,SNAT?

Kód: [Vybrat]

Exec 'iptables -t nat -I OUTPUT -p udp --dport 53 -j DNAT --to-destination 127.0.0.1:5300' !
Exec 'ip6tables -A OUTPUT -p udp --destination-port 53 -j DROP' !
Exec 'ip6tables -A OUTPUT -p tcp --destination-port 53 -j DROP' !
Exec 'iptables -A OUTPUT -p tcp --destination-port 53 -j DROP' !
DNSFILTER proxy running on port 5300

178

Hardware / Re:ext4 se přepne do RO, aborted journal a nevalidní inody

« kdy: 28. 08. 2022, 07:48:37 »

Je to SATA,  disk je v RAIDu postrádající smysl (k čemu jeden disk v RAID, možná pro budoucí roziřitelnost, kdyby uživatel chtěl  lusknout prstem, přidat si druhý disk a mít hned RAID mirror), ale tak ten systém je udělaný....

179

/dev/null / Re:ls : drwx------@ co je zač @ na konci nonetu

« kdy: 28. 08. 2022, 07:45:28 »

Tak on ten šmejd OS X vytváří mraky prapodivnách složek .streams/ pro nsoubory

(nepočítá klasický smetí ._DS_Store atd)

180

Sítě / Více IP síti sdílející linky

« kdy: 28. 08. 2022, 07:39:11 »

Pokud ano, tak konfigurace, kdy máte dvě zařízení v bridge, a přitom je každé v jiné IP síti, je dost zvláštní. Bridge propojuje dvě fyzické sítě do jedné, takže pak nad tou jednou fyzickou sítí máte jednu IP síť..

K tomu by mě zajímalo, i když se jedná o něco trochu jiného (bez bridgů), je možné "sdílet" L2 infrastrukturu (nebo její část) pro víc odlišných sítí ne, ničemu to nevadí? Otázka je, jak časté to je...
Prostě na jednom switchi budou zařízení se sítí 10.1.0.0/24 plus 192.168/24, jeden port ze switche povede do dalšího kde je stejná situace a třeba ještě z těchto dvou povede z každého port  do dalších dvou switchů, které třeba už jsou jen 10.1/24  only sítě a 192.168/24 only sítě. (akorát už to překročilo nějaké to pravidlo 3-2-1), ale snad pro ilustraci to stačí, že třeba někde ve velkém baráku se může nacházet několik switchů, přes které může téct provoz deseti L3 sítí (když se zrovna nevyžije routing , že provoz  ze zařízení z jedné sítě je schovaný pod méně než n  MAC adres)

jako vadit to asi může, není to best practice, oddělení VLAN by taky asi přišlo vhod a hlavně to zapojení routerů, neboť tam bude hodně velký broadcast a přetížená CAM tabulka (ale záleží na rozsahu , na 3 sítě na privátu to není problém , ale zapojit takhle celou kolej je třaskavá směs)